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PROCEDE ET DISPOSITIF DE PAIEMENT ELECTRONIQUE 



La presente invention CDnceme im proc6d6 et un dispositif de paiement 



5 61ectromque. 

Les sites Internet qui proposent des foumitures ou des prestations 
payantes demandent souvent des paiements par carte de paiement. Cependant, 
les utilisateurs savent que si le num6ro de leur carte de paiement est copi6 avec 
la date d' expiration, des paiements peuvent Stre effectu6s avec le compte 

10 attach^ k cette carte sans leur accord. Ces utilisateurs sont done trfes r^ticents i 
utiliser un moyen de paiement aussi pen prot6g6. 

De leur c6te, les sites marchands savent que les clients peuvent annuler, 
ou "repudier" les paiements fait avec les cartes de paiement parce qu'ils ne 
signent pas le paiement. 

15 Du fait de sa nature ouverte, Internet a augmenter les besoins de s6curit6 

de transmission de donnees. En efiet, Tarchitecture mSme de Tlntemet le rend 
particulierement vulnerable : le protocole IP, totalement d6centralise, fait 
circuler les datagrammes, ou "paquets" sans qu'ils soient proteges. Les adresses - _ - 
IP elles-mSmes, g6r6es par les DNS (Domain Name Servers pour serveurs de - 

20 noms de domaines), ne sont pas k Tabri d'actions de malveillance. Les systdmes 
d*exploitation ont des failles de securit6. D'oti une liste impressionnante de 
menaces : 



25 



- 6coute de paquets ou "sniflSng"; 

- substitution de paquets ou "spoofing"; 

- piratagedeDNS; 



- deni de service; 

- intrusions; et 

- diss6mination de progranunes malveillants, virus et chevaux de 



Troie. 



\ 
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Chacun des aspects de la pr6seiite invention vise a rem6dier k certains 
de ces inconv6ments. A cet effet, la pr6sente invention propose d'effectuer im 
paiement sur un premier r6seau de communication en mettant en oeuvre un 
nxim6ro de moyen de paiement k usage unique transmis ou valid6 ctl mettant en 

5 oeuvre un deuxifeme r6seau de communication, pr6f6rentiellement s6curis6 et 
comportant des adresses uniques de terminaux, par exemple un reseau de 
telephonic mobile, deux sessions de communication 6tant simultanement 
ouvertes sur les deux reseaux de commxmication. Ainsi, mSme si ce moyen de 
paiement est recopi6, la copie est inutilisable, parce que le moyen de paiement 

10 est a usage unique, c'est-i-dire qu'il ne peut pas etre utilise deux fois. De plus, 
le moyen de paiement ne peut etre vole sans disposer simultan6ment de deux 
terminaux relies simultanement aux deux reseaux de communication. 

Selon un aspect, la prdsente invention vise im proc6d6 de paiement 
comportant une op6ration d'ouverture d'me session de communication entre 

15 im premier terminal d'utilisateur et un serveur de site marchand, sur xm premier 
support de communication, caracteris6 en ce qu'il comporte, durant ladite 
session de communication : 

- ime operation de transmission par le terminal utilisateur d'une - 
information d'identification de Tutilisateur, 

20 - tme operation de transmission 4 un serveur de paiement de 

rinfonnation ^identification de Tutilisateur, 

- ime op6ration de constitution par ledit terminal utilisateur d'un 
certLficat de paiement k usage utiique, . 

- une operation de transmission par le serveur de paiement d'une 
25 information confidentielle k un deuxidme terminal utilisateur, par 

intermediaire d*im deuxi^me support de communication sur lequel 
chaque adresse est attribu6e k au plus un terminal utilisateur, 

- une operation de transmission par le premier terminal de ladite 
information confidentielle ; 
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- une operation de v6rification, par le serveur de paiemeat, de 
correspondance de rinfoimation confidentielle refue de la part du 
premier tenninal sur le premier r6seau de coxmnumcation avec 
rinformatiorL confidentielle transmise au deuxi^me terminal utilisateur 
5 et, 

- en cas de coirespondance, ime op6ration de validation de paiement. 

Selon un aspect de la presente invention, le paiement est e£Fectu6 par 
rintermediaire d'une session de communication avec un serveur de paiement, 
sur le premier r6seau de communication, session pendant laqueUe le deuxi^me 
10 reseau de conamunication est utilise pour authentifier le payeur en lui 
transmettant une infomiation confidentielle sur le deuxi^me reseau, qu'il 
retransmet sur le premier reseau. En cas d'authentification, le serveur de 
paiement transmet une information de paiement au pay6 afin que la transaction 
soit effectu6e. 

15 Les inventeurs ont detemiine qu'il y avait un be^oin pour a la fois 

authentifier uin client qui effectue un paiement, et lui peraiettre de ne pas 
transmettre un numero de carte de paiement, tout en mettant en oeuvre les 
moyens connus pour payer avec tout moyen de paiement En effet, cela 6vite de 
modifier les systfemes iitilis6s par les sites, tout en leur garantissant une 
20 authentification des clients et une s6curite des moyens de paiement 

Selon un aspect de la pr6sente invention, pendant une session de 
communication entre un payeur (client) et un pay6 (commergant ou marchand) 
le paiement est effectu6 en transmettant sur le deuxifeme r6seau de 
conmumication k adresse unique, un num6ro de moyen de paiement que 
25 I'utilisateur transmet au pay6 et que le pay6 utilise pour obtenir le paiement, de 
la m@me mani^e qu*un num6ro de carte de paiement embossSe. 

Dans ce mode de rdalisation, la simultan6ite de la session de 
coEomunication entre le terminal utilisateur et le serveur du site marchand, sur 
le premier r6seau de communication et les op6rations de paiement assure une 
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protection securite accrue car la session sur le premier reseau ne peut etre 
modifiee par un tiers. 

Dans des rnodes de realisation particuliers, le moyen de paiement a 
usage unique est transmis au client puis le client est authcntifie pour valider 
I'utilisation du moyen de paiement a usage unique. 

Dans des modes de realisation particuliers, le client est authentifie puis 
un moyen de paiement k usage imique lui est transmis. 

• Dans des modes de realisation particuliers, I'utilisation du moyen. de 
paiement a usage unique authcntifie le client. 

Dans chacun de ces modes de realisation, le client est prot6g6 car le 
moyen dc paiement a usage unique ne peut etre r^utilis^ par un tiers, en relation 
avcc le compte bancaire ou de credit du client. Le site est aussi protege car le 
paiement est signe, ainsi le client est authentifie fortement et il ne peut done 
pas r^pudier le paiement. 

On observe que le terme "moyen de paiement k usage unique" reconvre 
les cas ou un numero est pris, par exemple al6atoirement, dans un ensemble de 
numeros de moyens de paiement reserves a la mise en oeuvre du present 
proc6d6. Ce terme recouvre aussi le cas oti le moyen de paiement peut Stre 
reutilise pendant un nombre de paiement predetermine, jusqu'a un montant 
predetermine ou pendant une durdc pr6d6terniin6e. Cependant, 
preferentiellement, le moyen de paiement i usage unique ne peut servir que 
pour une transaction correspondant k une session de communication en cours 
entre le terminal dc Tutilisateur et le serveur du site marchand. 

Dans un mode de realisation particulicr, chaque moyen de paiement a 
usage unique est afSche sur \m 6cran de terminal d'acces a Internet. La 
prdsente invention vise une interfece graphique de paiement qui comporte 
Tafiichage d'un moyen de paiement k usage unique dont rutilisateur est 
authentifi6 pour valider I'utilisation de ce moyen de paiement. 

La presents invention vise aussi un moyen de paiement k usage unique 
auquel est associee ime authentification efFectuec confomi^ment ainc moyens 
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exposes dans la demande de brevet FR 97 13825 deposee le 4 novembre 1997. 
Exposes succinctement, ccs mpyens comporteat la transmission d'une 
information confidentielle sur un support de communication, typiquemeiit un 
rdseau de telephonie ou de transmission de messages alphanumcriques sans fil, 
5 la saisie de cette information confidentielle par Tulilisateur sur le terminal 
d'acces k Internet et la transmission de Tinformation confidentielle par Intemet 
pour authentifler I'utilisateur. 

La presente invention vise aussi a resoudre le probleme de la 
multiplication des clcs d'encryption et des risques qui en d6coulent. En 

10 cryptologie, une clc est inseree au moment du chiffrement des donn^es afin 
d'assurer la confidentialite de celles-ci, Les differentes normes de sdcuiite 
disponibles, pour le courrier electronique, pour les sessions de communication 
du web (SSL ou Secure Socket Layer pour couche de sccurite), pour le 
protocole IP lui-meme (IPsec), mettent en oeuvre tout Tarsenal des methodes 

15 modemes : authentification et signature, echange de cle conventionnelle, 
chiffrement symetrique. Des centaines de millions de cles RSA ont ainsi ete 
produites. 

II $e pose alors de nouveaux problemes : comment gerer ces cles ? 
-„ Comme le note Jacques Stem, Directeur du- Departemcnt Informatique de 
20 TEcole Normale Sup6rieuce ''il est iUusoire d'utiliser un chiffrement RSA en 
laissant tminer scs elds secretes sur un disque dur mal protege contre les 
intrusions" (Dans un article public dans "Le Monde" date du 12 sept^nbre 
2000). En outre se pose la question de tier une cle publique RSA a son 
propridtaire legitime. 

25 La presente invention vise, selon un aspect, un proced6 de certification^ 

caracterise en ce qu'il comporte : 

" \me op^ation de transmission de dorai6es depuis im systeme 
informatique emetteur a un syst^e informatique r6cepteur, sur un 
premier support de communication. 
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une operation de generation d*une trace desdites donnees 
representatives desdites donnees, par ie systeme infprmatique 
r^cepteur, 

une operation de tTansmission d*une partie de ladite trace k un 
5 dispositif de communication, sur un deuxieme support de 

communication different du premier support de dommunication, 
une operation de recqjtion de ladite partie de trace par le systeme 
infonmatique emetteur, 

one operation de transmission de ladite partie trace depuis le 
10 systeme informatique emetteur au systeme infoimatique recepteur, 

et 

une operation de verification de la correspondance de la partie de 
trace re^ue par le systeme informatique r^cepteur avec la trace 
generee par le systeme informatique recepteur, 
15 Grace a ces dispositions, la partie de trace est liee auxdites donnees et 

pcut servir a detecter une modification ulterieure desdites donnees. 

Selon dcs caracteristiques particulieres du precede tel que 
succinctement expose ci-dessus, ladite trace est representative d'un condensat 
desdites donnees. Grace a ces dispositions, la partie de trace permct de detecter 
20 toute modification ulterieure desdites donnees. 

Selon dcs. caracteristiques particulieres, le proc6de tel que 
succinctement expose ci-dessus comporte une operation de transmission d'un 
idmtifiant d'un utilisateur du systeme informatique 6metteur. Grace a ces 
dispositions, tme authentification de I'utilisateur du systeme informatique 
25 emetteur ou une signature electronique peuvent Stre effectuSes. 

Selon des caracteristiques particulieres, le precede tel que 
succinctement expose ci-dessus comporte une op^tion de mise en 
correspondance dudit identifiant avec une adresse du dispositif de 
communication sur le deuxieme support de commumcation. Gr^ce a ces 
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dispositions, I'adresse du dispositif de communication est une adresse qui 
correspond a Tutilisateur du systemc informatique emetteur. 

Selon des caracteristiques particulicrcs du procede tel que 
succinctement expose ci-dessus, ladite trace est representative d*une cle privee 
5 conservde par le systerae informatique r6cepteur. Grace a ces dispositions, le 
systeme informatique recepteur effectue une signature desdites donnees, 

Selon des caracteristiques particuli^es, le procede tel que 
succinctement expose ci-dessus, comporte une operation de mise en 
correspondance dudit identitiant avec ladite cle privee. Grace a ces 
10 dispositions, le systeme informatique recepteur effectue une signature desdites 
donndcs au nom de Tutilisatcur du systeme informatique emetteur. 

Selon des caracteristiques particulieres, le proc6dc tel que 
succinctement expose ci-dessus, comporte une operation de troncature de ladite 
trace, et en cc que au cours de rop6ration de transmission d'au moins une partie 
15 de ladite trace, le resuJtat de ladite troncature est transmis. Grace a ces 
dispositions, la partie de ladite trace comporte moins de symboles que ladite 
trace. 

Selon des caracteristiques particulieres du procede tel que 
succinctement expose ci-dessus, le premier -^support de communication est 
20 rintemet Grace k ces dispositions, les donnees peuvent ^tre transmises depuis 
n'importc quel syst&me informatique relie a Tlntemet. 

Selon des caracteristiques particulidres du procede tel que 
succinctement expose ci-dessrus^ le deuxieme support de communication est un 
i^eau sans fil. Grace a ces dispositions, Tauthentiflcation de Tutilisateur du 
25 systeme informatique 6metteur peut 6tre effectuee en tout lieu. 

Selon des caract&istiques paiticuli^res du proc£d6 tel que 
succinctement exposd ci-dessus, au cours de I'opdration de transmission 
desdites donnSes, un identifiant d'un systeme informatique destinataire est 
transmis, ledit proced6 comportant une operation de transmission desdites 
30 doiui6es depuis le syst&me informatique recepteur i un systeme informatique 
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destinatairc. Grace a ces dispositions, le systfeme infonnatique recepteur pent 
servir d'intennediaire dans une transmission cntre le systeme informatique 
emetteur et le systeme informatique destinataire, 11 peut, en outre, assurer des 
fonctions de datage, de notarisation ou de certification de remise en main 
5 propre au destinataire desdites dorniees. 

Selon des caracteristiques particuliercs, le procede tel que 
succinctement expose ci-dessus comporte une operation de mise en 
correspondance desdites donn6es avec une cle -publique et en ce que au cours 
de I'operation de transmission desdites doimSes audit systeme infonnatique 
10 destinataire, ladite clc publique est transmise, Grace a ces dispositions, Le 
destinataire desdites donn^es pent verifier Tidentite de I'emetteur desdites 
donnees, par la mise en oeuvre de la cle publique. 

Selon des caracteristiques particulieres, le procede tel que 
succinctement expose ci-dessus comporte une operation de generation dWe 
15 information confidentielle par le systeme informatique recepteur et une 
op6ration de transmission a un deuxieme dispositif de communication d'une 
information confidentielle a une dispositif de communication sur le deuxieme 
support de communication, par le systeme informatique recepteur, une 
operation de reception de ladite information confidentielle par le systeme 
20 informatique recepteur, sur le premier moyen de communication et une 
operation de verification de correspondance entre I'information confidentielle 
transmise par le systtaie informatique recepteur avec Tinformation 
confidentielle regue par le systeme informatique recepteur, 

Grice k ces dispositions, le destinataire desdites donn6e$ est authentifie. 
25 La prdsente invention vise aussi un dispositif de certification, 

caracterise en ce qu'il comporte : 

- un moyen de transmission de donnees depuis un syst&me 
infonnatique dmetteur i un systeme informatique recepteur, sur un 
premier support de conmnmication. 
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un moyen de generation d'lm trace desdiles donnees representatives 
desdites doiinees. par le systeme informatique recepteur, 
- uii moyen de transmission d'au moins une partie de ladite trace i un . 
dispositif de communication, sur un deuxieme - support de 
5 cornmimication different du premier support de communication, 

un moyen de reception de ladite trace par le systeme informatique 
emetteur. 

un moyen de transmission de ladite trace depuis le systeme 
informatique emetteur au systeme informatique recepteiir, et 
10 - un moyen de verification de la correspondance de la trace refue par 

le systeme infomiatique recepteur et de la trace g6ner6e par le 
systeme informatique recepteur. 
Les caracterisiiques parliculieres et les avantages dudit dispositif 
correspondent aux caracteristiques particulieres et avantages du procede tels 
15 que succinctement expose ci-dessus. 

La presente invention vise, seloii un aspect, un procede de certification, 
caracterise en ce qu*il comporte : 

une operation de reception d'un certificat jetable; 
une operation de chiffirement dc donnees avec ledit certificat-jetable; 
20 - une operation de transmission des donnees chiffr6es; 

une operation de signature de la transmission desdites donnees; et 
une operation de revocation dudit certificat jetable. 
Selon un aspect, la presente invention vise un procedd dc certification, 
caract6rise en ce qu'il comporte : 
25 ^ une premi6re operation de signature de doimees par un dispositif de 

foumiture desdites denudes sans cle privee de Tutilisateur qui 
foumit lesdites donnees; et 

une deuxi&me operation de signature de dormees qui substitue i la 
premiere signature, une deuxi&me signature mettant en oeuvre une 
3 0 pri v6e dudit utiiisateur . 
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Selon un aspect, la pr6sente invention vise un precede de transmission 
de donnees, caract6rise en ce qu*il comporte : . 

- une operation de transmission desdites donn6es d'un premier 
systeme infomiatique a un deuxieme systeme informatique; ~ 

5 - une operation de gtoSration d'un sceau ou condens^t repr6sentatif 

desdites donn6es, a partir desdites donnees; 

une operation de transmission dudit sceau ou condensat par ledit 
deuxieme systeme infomiatique; 

une operation d'authentification de I'emetteur desdites donnees 
10 mettant cn oeuvre ledit sceau ou condensat ; et 

- une operation de verification dudit sceau ou condensat. 

Gr&ce a chacun de ces aspects, les cl6s, sceaiix, condensits ou 
certificats ne sont pas stockes sur un terminal utilisateur, ce qui les protege 
contre tout risque de vol ou de copie. En outre, la certification peut ainsi etre 
15 independante du terminal mis en oeuvre par le signataire, ce qui rend la 
^ signature portable dun systeme h im autre. 

Selon des caracteristiques paiticulidres de chacun des aspects de la 
««■ presente invention, au cours de Topcration de generation de certificat jetable, 

une cle privee est g6n6ree. Grice a ces dispositions, le certificat jetable possede 
20 les memes caracteristiques de securitc qu'une cle privee. 

Selon des caracteristiques particuliferes de chacun des aspects de la 
pr6sente invention, au cours de reparation de chiffirement, une trace des 
donnees a transmettre est deteiminee sous la forme connue sous le nom de 
condensat (en anglais « hash »). Grace a ces dispositions, toute modification 
25 des donnees i transmettre apres la generation de ce condensat est detectable par 
utilisation du condensat. 

Selon des caracteristiques particuli&res de chacun des aspects de la 
presente invention, au cours de I'opdration de chiffrement, est mise en oeuvre 
une routine applicative preliminairement teldchargee. Grice k ces dispositions, 
30 la transmission des donn^ k transmettre est protdgde par ladite routine. 
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Selon des caractSristiques paiticulicres de chacun des aspects dc la 
presente invention, au cours de Toperation de transmission des donnces 
chiffi-ees, les donnees k transmettre sont aussi transmiscs. Grace a ces 
dispositions, toute modification des donnees k transmettre peut etre d6teclee en- - 
5 utilisant les doimees chiffrees. 

Selon des caracteristiques particulieres de chacun des aspects de la 
presente invention, au cours de reparation de signature, un sceau secret est 
transmis a un recepteur $ar un r6seau de telecommunication et saisi par le 
signataire sur un poste utilisateur qui a transmis les donnees a transmettre. 
10 Grace a ces dispositions, Tutilisateur du poste utilisateur est authentifie par Ic 
fait qu'il dispose simultanement d'un recepteur sur le reseau de 
telecommuni c ation . 

Selon des caracteristiques particulieres de chacun des aspects de la 
presente invention, le precede comporte une operation de substitution de 
15 signature au cours de laquelle une cle privee du signataire est associee aux 
donnees a transmettre, Grice k ces dispositions, la cle privee d*un utilisateur 
peut etre conservee en lieu sur, sur un serveur de securite, de telle maniere 
^ qu'aucun poste utilisateur mis en oeuvre par Temetteur de donnees a transmetixe 

n'ait a conserver ladite cle privee^rLa cle -privee est ainsi particulierement 
20 protegee, 

Selon des caracteristiques particulieres de chacun des aspects de la 
presente invention, le precede comporte une operation d'association d'une date 
et d'une heure aux donnees transmises. Grace k ces dispositions, la transmission 
des donnees est horodat^e. 
25 Selon des caract6ristiques particuli&res de chacun des aspects de la 

presente invention, le proc6d6 comporte une operation de mise en memoire des 
donn6es transmises et d'une signature. Gr^ce k ces dispositions, il y a 
notarisation des donnees transmises. 

Selon des caracteristiques particulieres de chacun des aspects de la 
30 pr^ente invention, le certiHcat jetable est un ccrtificat k duree de vie infiirieure 
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a une heure. Grace k ces dispositions, le meiiie certificat ne peut etre utilise 
pendant plus qu'ime duree predeterminee. 

La presente invention vise aussi un dispasitif de certification* 
caracterisS en ce qu'il comporte : 
5 - un moyen dc g6n6ration d'un certificat j etable; 

- un moysn de reception d'un certificat jetable; 

- un moyen de chiffrement de donndes avec ledit certificat jetable; 
un moyen dc transmission des donndes chlf&6es; 

- un moyen de signature de la transmission desdites donnSes; et 
10 - un moyen de rSvocation dudit certificat jetable. 

Selon im aspect de la prdsente invention, Tutilisateur ou client s'identifie 
sur un premier support de communication, par exemple Internet, en foumissam 
un certificat, par exemple confonne k Vinfirastructure i cl6 publique FKI, et 
ledit certificat comporte Vadxesse unique d'un tenninal dudit litilisateur siu: un 
15 dewcifeme support. de communication, par exeniple un nutniro de t6lephone 
mobile de Ihxtilisateur/Selon des caractferistiqucss particulieres, V^^^ 
sur le deuxifeme support est chiffrde avec une cl6 publique de telle mani^rc que 
seuls certains organismes habilitds ou certaines autorit^s de certification 
• peuvent d6cMf&er ladite adresse unique. -Selon des" caracteristiques 
20 particuliferes, le certificat qui comporte ladite adresse unique sur le deuxifenie 
support de communication pointe sur, c'est-a-dire identifie ou comporte, un 
autre certificat, par exemple confonne i rinfirastnicture i cl6 publique PKI, qui 
ne comporte pas ladite adresse unique. 

D'autres avanlages, buts et caracteristiqucs de la presente invenUon 
ressortiront de la description qui va suivre faite dans un but explicatif et 
nuUement limitatif en regard du dessin annex6 dans lequel : 

la figure 1 represente des transnussions de messages cntrc des 
entites participant a une transaction, selon un premier mode de 
realisation. 
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la figure 2 repr^sente des transmissions de messages entre des 
entites participant k une transaction, selon un second mode de 
realisation, 

la figure 3 repr&entc une image d'un moyen de paiement k 

usage unique electronique, 

la figure 4 repr^sente des transmissions de messages entre des 
entites participant 4 une transaction, selon un troisieme mode 
de realisation. 

la figure 5 representc des transmissions dc messages entre des 
entites participant a une transaction, selon un quatri6me mode 
de r^silisation, 

la figure 6 representc une succession d'operaiions eflecnifies 
par un terminal utilisateur et un serveur de certification, dans 
un mode de realisation particulier dc la prcseute invention, 
- la figure 7 represente une succession d'operations effecniees 

par un terminal utilisateur et le serveur de certification, dans un 
autre mode de rfelisation particulier de la pr6sente invention, 
la figure 8 reprdsente une succession d'operations effecmees 
par un temiinal utilisateur et le serveur de certification, dans un 
autre mode de realisation particulier de ia presente invention, 
ct 

la figure 9 represente un organigramme de mise en oeuvre d'un 
autre mode de realisation de la pr&ente invention. 
Dans toute la description, le temie "temiinal 4 adresse unique" indique 
rni tenninal sur un rfiseau de communication dont I'adresse ne peut 6tre 
attribuee 4 un autre terminal. Par exemple, un telephone ou un pageur est un 
terminal & adresse unique. 

Dans le schema de transaction expose en figure 1. un client est inscrit et 
possfede un compte chez un organisme financier qui met en oeuvie un serveur 
de paiement adapte 4 determiner une adresse de terminal sur un support de 
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communication dans lequel chaque adrcsse est attribute a au plus un teiminal. 
Ce compte lui permet d 'avoir un fichier de conservation de donnccs 
conjSdentielles connu sous le nom de « Server Side Wallet », Dans ce fichier 
sont stockds les informations relatives au mode de paiement dont le clienl 
5 dispose et notamment relatives a un cli6qmer clectronique. 

L'organisme financier est de type 'Issuer', c'cst-a-dirc emetteur de 
moyen dc paiement, ici a usage uniques, ou il est un intennediaire ayant passi 
des accords avec des bauques * Issuer'. 

Le marchand a un accord avec I'organisme financier 'Issuer' et il a un 
10 compte ouvert qui ne se substitue pas obligatoiiement a son compte bancaire 
classique dans sa banque dite 'Acquirer* car elle re9oit les paiements pour le 
compte du marchand. 

Le marchand presente, sur la page de paiement de son site, ime ic6ne 
proposant a ses clients de payer par intennediaire d'lm moyen de paiement 
15 appcle « moyen de paiement a usage unique clectronique ». On observe que 
cette icone pent etre celle d'une banque ou d*un type de carte bancaire. 

En figure 1, sont representees les stapes suivantes de mise en ocuvrc du 
precede objet de la presente invention : 

1/ Le client decide de payer les articles qu'il a choisis et references dans 
20 son panier (connu en France sous le nom de "caddy", marque deposee et en 
anglais sous le nom de "shopping kart"). Nous supposons dans la suite de la 
description que le client choisit comma mode de paiement le "moyen de 
paiement a usage unique 61ectronique" propos6 par le marchand. On observe 
que ce choix peut 8tre effectue en s61ectiotmant une iconc de banque ou une 
25 icdne representant un camet dc cheques ou un cheque, par exemple. 

21 Le marchand renvoie le traitement de cette demande vers Torganisme 
financier (ou intermediaire) qui propose ce service de paiement par moyen de 
paiement a usage unique Clectronique. Dans des modes de rdalisation 
exemplaires, ie client se retrouve directement sur un site de I'organisme 
30 financier. 
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3/ L'organisme financier demande au client de s'identifier pour acccder 
au service de ch6quier electronique. 

4/ Le client s'identifie. Dans des modes de realisation exemplaires, le 
client donne son nom, son prenom, un nom d'utilisateur et/ou un mot de passe 
5 connu de lui seuL 

5/ L*organi$me financier presente au client le moyen de paiement a 
usage unique electronique rempli avec les elements correspondant a la 
transaction (nom du marchand, montant, horodatage, . . .) pour acce^ptation ct 
signature electronique. Dans des modes de realisation exemplaires, le moyen de 
10 paiement k usage unique est represente sous la forme d'xm cheque sur Tecran du 
- terminal du client. 

6/ Le client valide son acceptation. Dans des modes de realisation 
exemplaires, le client s61ectionne avec un moyen de pointage tel qu'une souris, 
un bouton "validation de paiement". 
15 7/ L'organisme financier calcule une signature electronique, ou sceau, 

c'est-i-dire mie sequence de symboles non predictibles et envoie un certificat 
lie a la transaction ct contenant cette sequence, via im reseau telephonique 
mobile, tel que le reseau GSM, sur le mobile du client. Dans des modes de 
realisation exemplaires, la signature ou sceau est transmise sous la forme d'un . - 
20 message court cormu sous le nom de "SMS". 

8/ Le client s'autlientifie et signe le moyen de paiement k usage unique 
61ectronique en ressaisissant la signature Electronique du certificat sur le clavier 
de son poste de consultation (ou terminal) coimecte sur le r6seau Internet 
(principe de la signature electronique). 
25 9/ L'organisme financier renvoie la confirmation du paiement au client 

et au marchand afin que celui-ci livre les produits achetfis. 

10/ L'organisme financier traite la transaction en transmettant les 
informations au reseau de compensation bancaire afin que le montant de la 
transaction soit cr6dit6 sur le compte du marchand dans sa banquc 'Acquirer'. 
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Selon un mode de realisation particiilier, xm utilisateur d*un premier 
terminal de communication connect6 k \m rdseau de commimication, tel qu'im 
ordinateur personnel connect6 k Tlntemet, ouvre une session de 
communication avec un site marchand. Durant la session de communication, le 
5 site maxchand propose un paiement par moyen de paiement a usage unique 
6Iectronique et, en cas d'acceptation par le client, le site marchand ou le 
premier terminal ouvrent une seconde session de communication avec un site 
foumisseur de moyen de paiement k usage uniques electronique ou le teraiinal 
6met un moyen de paiement a usage unique 61ectronique 
10 A cet effet, sur une fenetre du premier terminal, une fenetre qui 

repr6sente le moyen de paiement k usage unique comporte un, plusieurs ou, 
pr6ferentiellement, tons les champs suivants : 

- lin nom associe au site marchand, — 

- un montant de paiement, 

15 - un nom associ6 k Tutilisateur, 

- un num6ro de compte attribu6 k Tutilisateur, 

- un nom d'organisme payeur, 

- un horodatage ("time-stamping" en anglais), et 

- une zone ou Tutilisateur doit foumir ladite information confidentielle. 
20 Pour efiectuer le paiement, ime information confidentielle est 

commuinqu6e k Tutilisateur, par intOTn6diaire d'un deuxiteie support de 
conmiimication, tel qu*un r6seau de t61ephonie mobile ou un r6seau de 
transmission de messages alphanum6riques. 

L'utilisateur saisi alors Tinformation confidentielle sur le premier 
25 terminal et le premier terminal transmet cette information confidentielle au site 
marchand. 

Apr^s vdrification de correspondaace de I'information 
confidentielle re9ue de la part du premier terminal sur le premier r6seau 
de communication avec T information confidentielle transmise au 
3 0 deuxi^me terminal utilisateur, le paiement est valid6. 
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Preferentiellement, le precede compoite une operation de transmission, 
par le site marchand, d'lme demande d'6mission du certificat de paiement k un 
site tiers. Pr6f(Srentiellement, le site tiers transmet un montant disponible sur im 
compte attribue audit utilisateur. Pr6f6rentielleinent, le proc6d6 comporte une 
5 op6ration d'affectation d'un certificat d'int6grit6 k Tensemble constitu6 du 
moyen de paiement i usage unique et de Tinfonnation confidentielle saisie par 
Putilisateur. 

Dans le mode de realisation particulier illustr6 en figure 2, un client 
accMe, par Tintermediaire d'un terminal 100 et d'un r6seau infomiatique 110, 

10 par exemple Ihtemet, k un site marchand 120, heberge par un serveur de r6seau 
130 (opdration 105). Le client s'identifie en donnant ses noms, pr6noms et 
adresse ou par la transmission, par le terminal 100 d'un certificat unique delivre 
au client, par-exemple un certificat lie a rinfirastructure k cl6~publique PKL 
Pour payer, on suppose dans la suite de la description de la figure 2 que le 

15 client s61ectionne une option de paiement par moyen de paiement k usage 
unique 61ectronique proposee par le site marchand 120 (operation 115). On 
observe que le site marchand 120 peut ne proposer que cette option, car, k la 
difference des paiements par carte bancaire sans signature, le client ne peut pas 
r6pudier un paiement fait avec signature ou authentification. 

20 Le serveur de r6seau 130 transfert alors le client sur un site de paiement 

140 h6berg6 par un serveur de r6seau 150, ou serveur de paiement (op6ration 
125). Dans des modes de realisation exemplaires pr6f6:entiels, le serveur de 
r6seau 130 du site marchand 120 transmet au serveur de r6seau 150 du site de 
paiement 140 de Tinformation representative de Tidentite du marchand, de 

25 references bancaires du marchand, de I'identite du client, d'un certificat imique 
deiivre au client conformement k rinfirastructure k cl6 publique PKI, du 
montant de la transaction, de I'horodatage et/ou des biens ou services objets de 
la transaction (operation 135). Dans des modes de realisation exemplaires, le 
client foumit tout ou partie de ces inforaiations au serveiu: 150 par 

30 rintermediaire du terminal 100, par exemple par transmission d'un certificat 
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unique delivr6 au client conformfirnent k rinfrastnicture a cle publique PKI ou 
par saisie au clavier (operation 136). 

Le seiveiir de paiement 150 determine si le paiement peut etre autorise, 
par Bxemple en fonction de Tidentitfe du client, du montant du paiement, d'un 
5 etat d'un compte financier ou bancaire du client, selon des procedures connues 
(op&ation 137). Si le paiement peut etre autorise, le serveur 150 du site de 
paiement 140 transmet une infoimation , par exemple une image, representative 
d'lm moyen de paiement k usage unique eicctronique, par exemple une image 
de cheque, au terminal 100 du client (operation 145)- Dans des modes de 
10 realisation excmplaires, ce moyen de paiement a usage unique electronique est 
d6j^ partiellement ou completement pre-rempli, avec toute ou partie de 
rinfoimation transmisc au cours de I'operation 135 (operation 155). 

Le client valide ou non le paiement en selectionnant, ou non, un bouton 
de validation lie k Tinformation re^ue par le terminal 100 au cours de 
15 Toperation 145 (operation 165). Lorsque le client valide le paiement, le serveiu" 
de reseau 150 du site de paiement 140 transmet a un serveur de signature 160 
une information identifiant le client (operation 175). Dans des modes de 
realisation exemplaires, le serveur 150 transmet au serveur de signature de 
rinformation relative au paiement, par exemple I'objet du paiement, le montant 
20 du paiement, I'horodatage et/ou le nom du marchand. Lc serveur de signature 
160 recherche dans une base de dormees ou dans une table de correspondance, 
une adresse unique d'un terminal de telecommunication 170 lie au client, par 
exemple un numdro de telephone mobile sur un rdscau de telephonie mobile 
(operation 185). 

25 Le serveur de signature 160 determine alors un sceau a usage unique, 

sous la forme d'one sequence de symboles (operation 186), Dans des modes de 
realisation cxemplaires, le sceau depend d'au moins un element de la 
transaction, par exemple, le montant, Tidentite du marchand, ridentite du client, 
un certificat unique delivre au client, Thorodatagc ct/ou Tobjet de la transaction. 

30 Par exemple, le sceau est determine comme une fonction mathematique (par 



c^H ft B-eaiTellfe! 



30-11-2001 185 38 DE MflGICPXESS ft 0-001 703lKi0573 P. 17 



19 



exemplc un "hash" ou condensat) de tout ou partie de ces elements. 
PrSferentiellement, le sceau depend de Tidentite du client et/ou d'un certificat 
unique d61ivr6 au client (par exemple lie a rinfrastructure PKl pour "public Key 
Infrastructure" ou infrastructure k cl6 publique). 
5 Le serveur de signature 160 transmet au terminal de telecommunication 

170 le sceau a usage unique (operation 187). Dans des modes de realisation 
excmplaires, le serveur de signature 160 transmet au terminal de 
t616communication 170 au moins un element de la transaction, par exemple, le 
montant, Tidentite du marchand, I'identite du client, I'horodatage et/ou robjet dc 
10 la transaction en plus du sceau (operation 188). 

Pour valider le paiement, le client lit le sceau sur un ecran du terminal . 
170 ou ecoute la sequence de symbole dict6e par un serveur vocal sur un haut- 
parleur du temiinal-170 puis saisit le sceau sur le terminal 100, par exemple au . 
clavier ou par dictee vocale (operation 189). Dans dcs variantes, le client 
15 cotmecte le terminal 170 au terminal 100 pour que la transmission du sceau ait 
lieu aUtomatiquement 

Le sceau est transmis par le terminal 100 au serveur de reseau 150 
(operation 191). Le serveur 150 transmet le sceau au serveur de signature 160 
(operation 192). Le serveur de signature v6rifie le sceau (operation 193) et, en 
20 cas de correspondance entre le sceau 6mis au cours de Toperation 187 et le 
sceau re9u au cours dc Toperation 192, le serveur dc signature 160 transmet une 
information de validation de signature au serveur 150 (operation 194). Le 
serveur 150 transmet une information de validation de paiement au serveur de 
reseau 130 (operation 195). Le serveur de signature invalide le sceau pour tout 
25 autre paiement (operation 196). 

En cas d'absence de correspondance entre le sceau emis au cours de 
roperation 187 et le sceau repu au cours de Toperation 192, le serveur de 
signature 160 transmet unc information de dfefaut de signature au serveur 150 
(operation 1 97) el le serveur 150 infonmo le client du dfifaut de signature et lui 
30 redemande de foumir le sceaii (operation 198) et les op6ration 191 et sixivantes 
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se repfetent. Apres trois echecs, c'est-i-dire trois operations 197, le serveur de 
signature invalide le sceau et le serveur de paiement 150 transraet une 
information d'absence de paiement au serveur 130. 

Bien que dans la description de la figure 2, les serveurs 130, 150 et 160 
5 aient €t6 repr^entes comme separes, dans des modes de realisation 
exemplaircs, au moins deux des serveur^ 130, 150 ct 160 peuvMit 6tre 
confondus. 

Pr6f6rentiellement, les operations 125 et suivantes ont toutes lieu au 
cours de la meme session de communication entre le terminal 100 et le serveur 
10 150. Preferentiellement, cette session de communication est sScurisee, par 
exemple encryptee scion le standard d'encryption SSL. 

En figure 3 est repr6sente une image d'un moyen de paiement a usage 
unique electronique, telle qu^elle peut etre- affiehee sur un ecran 19 d'un -~ 
terminal accessible a im client. Cette image 20 resscmble a celle d*un cheque 
15 comportant des zones d'information : 

luie zone 21 indiquant des coordonnees de Torganisme 
emetteiir, 

* - une zone 22 indiquant des coordonnees du client, 

une zone 23 indiquant le montant du paiement, en chiffres, 
20 - • une zone 24 indiquant le montant du paiement, en lettres, 

une zone 25 indiquant un numero de moyen de paiement, 
une zone 26 indiquant des coordonnees du marchand, 
eventuellement, une zone de references 27 ou est indique 
Tobjet de la transaction, 
25 - une zone 28 de signature, qui prend ici la forme d'un bouton 

"valider le paiement et signer", et 

une zone dTiorodatage 29, comprenant une date et, 

Eventuellement, une heure de transaction. 

Tout ou partie des zones 21 i 27 et 29 sont remplies aiitomatiquement 
30 en fonction d*informatioris foumies par un serveur de site marchand et/ou un 
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serveur dc paiement, afin que le client n'ait qu'a verifier les informations 
port6es par le raoyen de paiement k usage unique electronique et a valider le 
paiement en cliquant d'abord sur le bouton "valider le paiement et signer", puis 
en saisissant un sceau qu'il regoit sur un deuxieme support dc communication a 
adxesses uniques, par exemple une reseau de tel^honie mobile, 

Preferentiellement, Timage du moyen de paiement k usage unique est 
automatiquement conservee en memoire non volatile du terminal du client. 

Selon on aspect dc la presente invention, un moyen de paiement a usage 
unique dlectronique est associ6 a un recapitulatif d*elements de transaction 
comportant au moins !e montant de la transaction, et, preferentiellement, une 
.identification du iTiarchand. . . 

Dans le mode de realisation particulier illustre en figure 4, un terminal 
de client-200 accede par Tintennediaire d'un premier reseau de communication 
210, par exemple Internet, a un serveur de site marchand 220 (operation 205). 

Preferentiellement, la communication entre le terminal 200 et le serveur 
220 passe en mode de comrhunication securisee, par exemple encryptee 
(operation 207) avant que Tutilisateur n'entre dans une zone de paiement du site 
marchand. 

Le terminal 200 foumit au serveur 220, un identifiant de rutilisateur du 
terminal 200, par exemple ses noms, pi6noms et adresse, un nom d'abonne avec 
ou sans mot de passe, un cookie, fichier place par le site marchand sur le 
terminal 200 (operation 209) ou un certificat unique delivre a Tutilisateur du 
tenninal 200 conformement k Tinfrastructure k c\6 publique PBCI. 

Le client d6clenche les operations de paiement en sdlectionnant une 
fonction de paiement sur imc page dudit site, par exemple an cliquant sur un 
bouton (operation 211). Tout en conservant, jusqu'a la fin des opdrations de 
paiement, la session de communication ouverte avcc le temiinal 200 reli6 au 
premier moyen de communication 210, le serveur 220 du site marchand foumit, 
par exeniple sur le premier reseau de conmiunication, une identification du 
client k un serveur de paiement 230, pr6f6rentiellement avec un idehtifiant du 
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site marchant, et uu montant de paiement (operation 213). Le serveur de 
paiement 230 determine une adresse sur le deuxieme reseau de communication 
240, prefereaticllement a adresses uniques^ par exemple un reseau 
telephonique, par exemple mobile (operation 2J 5). 
5 Le serveur de paiement 230 determine un numero de moyen de 

paiement a usage unique (operation 217) dont il conserve en. mdmoire 
(operation 219) la relation avec un compte 250 du client* par exemple un 
compte de carte de credit ou un compte bancaire. Dans des modes- dc 
realisation exemplaires, le numero de moyen de paiement a usage unique 
10 depend de I'idcntite du client et/ou d'elements de la transaction, par exemple le 
montant, I'horodatage ou Tidentite du marchand. 

Dans des modes de realisation exemplaires, le numero de moyen de 
- - paiement i usage unique est pris parmi un ensemble de numeros similaires a 

des numeros de carte de paiement embossees. 
15 Le serveur de paiement 230 determine si le paiement est autoris6, par 

. exemple en fonction du montant du paiement et d'information d'autorisation de 
paiement associccs au compte 250 (operation 221). Le serveur de paiement 230 
transmet le numero de moyen de paiement a usage unique a un terminal 260 
reli6 au deuxieme reseau de communication 240 qui possede ladite adresse sur 
20 le deuxieme reseau de communication, par exemple par le biais d'un message 
court (operation 223). Eventuellement~le serveur de paiement 230 determine 
une durce maximale de validite du numero de moyen de paiement a usage 
unique (operation 225). Eventuelleraent, le serveur de paiement transmet au 
terminal 260 sur le deuxieme reseau de communication 240, le montant du 
2 5 paiement et/ou un identifiant du site marchand (operation 227). Le terminal 260 
re9oit I'lnformation transmise et retransmet au tenninal 200, par un Hen 
61ectroniquc (operation 229) entre les terminaux 260 et 200 ou. 
preferentiellement, par recopie manuelle - effectu6e par I'utilisateur des 
terminaux 200 et 260 dans une fenStre d'une page du site marchand prevue k 
30 cet efFet (operation 231), le numero de p^ement a usage unique. Le tenninal 
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200 transmet au serveur 220 le nuniero de raoyen de paiement a usage unique 
(operation 233). 

Dans des modes de realisation exemplaires, Ic num6ro de paiement a 
usage unique prend la forme d*un num6ro dc carte de paiement de type connu et 
s I'utilisateur utilise le numero de paiement a usage unique comme un numero de 
caile de paiement embosse sur une carte de paiement en matifere plastjque. 

Le serveur 220 du site marchand transmet le numero de moyen de 
paiement a . usage unique au serveur de paiement 230 (operation 235). Le 
serveur du site marchand 220 transmet, eventuellement, un montant de 
10 paiement, un identifiant du site marchand et/ou un identifiant du compte du 
marchand, en particulier celles de ces informations qui n'ont pas encore 6t& 
transmises au serveur de paiement 230 (operation 237). Le serveur de paiement 

- " 230 v6rifie la correspondance entre le numero de moyen de paiement a usage 

unique que le serveur de paiement 230 a transmis a ladite adresse sur le 
15 deuxieme rcseau de communication et le nunidro de moyen de paiement a 
usage unique que le serveur de paiement re^oit du serveur du site marchand 
(operation 239). En cas de correspondance et si le numero de moyen de 
paiement a usage unique est encore valide (test 241), le serveur de paiement 
230 emet une information d^autorisation de paiement au serveur 220 du site 
20 marchand (operation 243), provoque le paiement, eventuellement differe, 
depuis le compte du client vers le compte du marchand, en modifiant des 
donnees conservees en memoire en relation avec le compte du client (operation 
245) et en provoquant la modification de donnees conservees en memoire en 
relation avec un compte du marchand (opdration 247), et invalide une nouvelle 
25 utilisation du meme numero de moyen de paiement 4 usage unique en relation 
avec les comptes bancaircs ou de credit de Tutilisateur (operation 249). 

Dans un mode de realisation particulier illustre en figure 5, un terminal 
utilisateur 300 client accfcde a iin serveur de paiement 310 sur un premier 
reseau de communication 320, par exemplc Internet (operation 303) et 
30 demande i un serveur de paiement 310 im numero de moyen de paiement k 
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usage unique, au cours d'une session de communication sur un premier reseau 
de communication 320 (op^don 305). Le terminal 300 transmet au serveur de 
paiement 310 im identiiiant de Tutilisateur, par exemple ses noms, proems et 
adresse, un nom d'abonn6 avec oa sans mot de passe, un cookie, fichier placd 
5 par le serveur de paiement 310 sur le terminal 300 ou un certificat unique 
delivrfi au client conformemait k rinfrastructure a cle publique PKI (operation 
307)- 

Le serveur de paiement 310 determine une adrcsse sur un dcuxieme 
reseau de communication 330, pr6f6reatiellement a adresses uniques, par 

10 exemple \m r6seau t61ephonique» par exemple mobile (operation 309). Le 
serveur de paiement 310 determine aussi un num6ro de moyen de paiement a 
usage unique dont le moyen de paiement conserve en memoire 340 la relation 
- - - avec un compte du clientrpar exemple un compte de- carte de credit ou un 
compte bancaire (operation 311), Le serveur de paiement 310 determine une 

15 duree d'utilisation du moyen de paiement a usage unique (operation 313). Dans 
dcs modes de realisation exemplaircs, le numero de moyen de paiement est pris 
pariiii uh ensemble de numeros disponibles similaires a des numeros de cartes 
de paiement embossees. 

Le serveur de paiement 310 transmet le numero de moyen de paiement a 

20 usage unique a un terminal 350 relie au deuxieme reseau de communication 
330 qui poss^de ladite adresse sur le deuxifeme reseau de communication 330, 
par exemple par le biais d'un message court (operation 315), Lutilisateur re9oit 
Vinfoimation transmise (operation 317) ct-utilise ce moyen de paiement a usage 
unique pour payer un achat sur un site maichaiid 360 (op6ration 319), de 

25 maniere cormue en soi, par exemple en Vintroduisant dans des espaces prevus 
pour recevoir des numeros de cartes bancaires. Le serveur du site marchand 
360 transmet )e nuin6ro de moyen de paiement i usage unique au serveur de 
paiement 310 avec un montant de paiement, un identifiant du site marchand 
et/ou un identifiant du compte du marchand (op6ration-321). 
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Le serveur de paiement 310 verifie la corrcspondance entre le num6ro 
de moyen de paiement k usage unique qu*il a transmis au terminal 350 et le 
numero de moyen de paiement k usage unique que le serveur de paiement 310 
refoit du serveur du site marchand 360 (test 323) et, en cas de correspondance, 

5 verifie que la duree maximale d'utilisation du moyen dc paiement a usage 
unique n'est pas depassSe (operation 325) et determine si le paiement est 
autoiise, par exemple en fonction du motitant du paiement i effectuer et 
d'information associce au compte du client 370 (test 327). Si le paiement est 
autoris6 et si la dur6e d'utilisation n*e$t pas depassfie, le serveur de paiement 

10 310 emet une information d^autorisation de paiement au serveur 360 du site 
-marchand (operation 329), provoque le paiement, eventuellement dififere, 
depuis le compte du client vers le compte du marchand, en modifiant dcs 
- - — donnees conscrvecs en mcmoire cn relation avec le compte du client (operation 
331) ct en provoquant la modification de donnees conservees en memoire en 

15 relation avec un compte du marchand 380 (operation 333), et invalids une 
nouvelle utilisation du mSme numero de moyen de paiement a usage unique en 
relation avec les coniptes bancaires ou de credit de I'utilisateur (operation 335). 
^ En figure 6 sont representes un poste utilisateur ou systeme 

informatique emetteur 600, une application Internet 610, unc sallc blanche 620, 

20 une memoire de stockage 630, un deuxieme reseau de communication 640 et 
un recepteur 650 sur le deuxieme reseau de communication 640. La salle 
blanche 620 comportc une protection pare-feu (en anglais "firewall") 660, un 
* serveur de securite 670 et un generateur de certificats 680. Les operations 

effectuees dans le mode de r^isation parti cuUer illustrd en figure 6 sont 

25 representees dans des rectangles et numerot^es de 501 k 512. L'application 
Internet 610 et la salle blanche 620 sont conjointement appele systeme 
informatique recepteur. 
— Le poste utilisateur 600 est, par exemple, un ordinateurpersoimel (PC), 

un ordinateur de r6seau (NC) ou un assistant numerique personnel (en anglais 

30 Personal Digital Assistant ou PDA) ou tout terminal permettant une 
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communication a distance^ borne interactive, decodeur T.V., .... Le poste 
utilisateur 600 est dote d'un logiciel de coTnmunication & distance pour mettre 
en oeuvre Tapplication Internet 610, conjointement avec !e serveur de s6curit6 
670. Ce logiciel de communication a distance pent fetre im logiciel de 
5 navigation ou un logiciel de courricr electronique, par exemple. 

L'applicalion Internet 610 permet la communication entre le poste 
utilisateur 600 et le serveur de securite 670 et la transmission de donnees 
depuis le poste utilisateur 600 vers la memoire de stockage 630, par exemple 
par rintcrmddiaire du serveur de securit6 670. La salle blanche 620 est un 

10 cspace protege contre toute intrusion physique, telle qu'une salle de cofi&e d'une 
- banque. La memoire de stockage 630 est une memoire adapt6e a conserver des 
donnees pendant une longue periode^ qui d6passe une annee. 

— ' Le deuxieme reseau de communication 640 est, par exemple, un reseau 
telephonique et, encore plus particulierement un r6seau de t6Iephonie mobile 

15 ou de recepteurs alphanum6rique$ commun^ment appeles "pageurs". Le 
deuxieme reseau 640 est appele "deuxieme" par comparaison avec le reseau 
Internet, que Ton nomme aussi "premier" reseau dans la suite de la presente 
demands de brevet. Le deuxieme reseau 640 est adapte a transmettre une cle, 
un sceau, un condensat ou un certificat depuis le serveur de securite 670 

.20 jusqu'au recepteur 650. Le recepteur 650 sur le deuxieme reseau 640 peut, 
selon le type de deuxieme reseau 640, etre un telephone mobile, un pageur ou 
un recepteur quelconque, Le recepteur 650 permet k Tutilisateur du poste 
utilisateur 600 de prendre connaissance d'informations transmises par le 
serveur de securite 670. 

25 La protection pare-feu 660 est de type riiat6rielle et/ou logicielle et 

interdit toute intrusion logicielle dans le serveur de securite 670. Le serveur de 
securite 670 est un serveur informatique de type connu. Enfin, le g6n6rateur de 

■ certificats 680 est adapte a g6nerer des certificats jetables, par exemple de type 
conforme k I'infi^tnicture a cl&s publiques PKl, par exemple confonue & la 

30 nbrme X509-V3. 
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Le poste utilisateur 600 et le serveur de securite 670 sont conjointement 
adaptes h mettre en oeuvre les opdratioas indiquees ci-dessous. Par exemple, le 
serveur dc securite 670 est adapte a foumir des routines applicatives ou 
"applets" au poste utilisateur 600. 

Au d6but du processus de certiEcation« on suppose que des donnees 
sont a transmettre de mani^re certifi6e et signee depuis le poste utilisateur 600 
jusqu*^ la memoirc de stoclcage 630. Uutilisateur du poste utilisateur 600 se 
connecte au serveur de securite 620 pour lancer le processus de certification, 

Au cours de Toperation 501, apres identification de Tutilisaieur au poste 
utilisateur 600, Tapplication Internet 610 telecharge une routine applicative 
certifiee et signee dans le poste utilisateur .600. On observe que la routine 
applicative en question peuf n'etre telecharg6e que dans le cas ou une copie de 
cette routine n'est pas deja implantee dans le poste xuilisateur 600. Cette 
caracteristique particulifere permet de rendrc portable le precede de certification 
objet de la presente invention, sans ralentir ce processus dans le cas oii 
Tutilisateur met successivement en oeuvre le meme poste utilisateur 600. pour 
plusieurs certifications de ddnn^es. Au cours de Toperation 502, le generateur 
de certificats 680 g&nfere un certificatj ©table, par exemple sous la forme d*une 
cle privee . conforme a Tinfirastructure a cles publiques PKI, par exemple 
conform e a la norme X509-V3. Par exemple, le certificat jetable est genere 
aleatoirement par le generateur 680. 

Au cours de reparation 503, le serveur de securite 670 transmet ie 
certificat jetable au poste utilisateur 600. Au cours de Top^ration 504, le poste 
utilisateur 600 met en oeuvre la routine applicative t61echargee au cours de 
Toperation 501 pour obtenir une trace des donnees a transmettre, appeie 
condensat (en anglais "hash"), trace qui depend du certificat jetable genere au 
cours de I'operation 502 et des donnees k transmettre et qui permet la detection 
de toute modification ult6neure des dotmees a transmettre* 

' Au cours dc I'operation 505, les donnees a transmettre et le condensat 
sont t616charges depuis Ic poste utilisateur 600 jusqu*^ TappUcation Internet 



30-11-2001 18:42 DE MRBICJIRESS A 0-00170WB50573 P. 26 




28 



610. De plus, des coordonnccs dc chaque destinataire des donnees a transmettre 
est transmis par le poste utilisateur 600 a TappUcation Intemel 610. Ces 
cooidonnees peuvent prendre la forme tfadresse de courrier electronique (en 
anglais "e-mail"), de numero de tel6phone ou de tout autre type d'infoimation 
5 permettant de contacter chaque destinataire des donn6es k transmettre. Au 

- cours de TopSration 506, rint6grite des donnees k transmettre est verifies, en 
mettant en oeuvre la cle jetable gen6r6e au cours de Toperation 502 et le 
condensat. 

On observe qu'a la fin de Toperation 506, une copie des donnees k 
10 transmettre a ete faite depuis le poste utilisateur 600 dans Tapplication Intemel 
.. - 610 et quc. cette copie est certifiee confonme k Toriginal grace a la mise en 
oeuvre d*une cle jetable. Pour evitcr que le certificat jetable soit reutilise, au 

- - cours-de ^operation 510, le certificat jetable est revoque, c'est-a-dire qu'il 

devient inutilisable pour certifier des donnees. 
15 En variante, Ic certificat jetable gencre au cours de I'operation 502 est 

un certificat a duree de vie tre$ courte, preferentiellement inferieure a une 
heure. Dans cette variantc, Uoperation 510 n'est pas execut6e puisqu'au dela de 
la dur6e de vie du .certificat jetable, ce certificat n*est pas utilisable pour 
certifier des donnees. 

2Q Les op6rations 507 et 508 correspondent a un exemplc de signature 

pouvant 6tre utilise en combinaison avec les operations 501 a 506 ci-dessus- Au 
cours de Toperation 507, un sceau secret est genere et transmis, par 
Uintennediaire du deuxifcme reseau 640» au recepteur 650. Uadresse du 
recepteur 650 sur le deuxieme reseau est determines en mettant en 

25 correspondance Tidentifiant de Tutilisateur transmis au cours de Toperation 501 
avec ladite adresse, dans une table de correspondance. Preferentiellement, Ic 
sceau secret est calcule sur les dl6ments de signature du document. 
Priftrentiellement, le sceau secret depend des donndes k transmettre, de leur 
nombre, de leur contenu, dc la date et de llieurc de la generation du sceau 

30 secret, de la cle privee de r6metteur des domi6es d6termin6e en correspondance 
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avec ridentifiant de I'utilisateur transmis au conrs de Topdration 501, de 
Uadresse mteniet ("adresse LP") du poste utilisateur 600 et/oa d'un nuiDero de la 
session Internet au cours de laquelle les donnees sont transmises, Selon un 
exemple dc mise en -oeuvre-de l-opeiation 507, le sceau secret est~obtenu par- 
5 caJcul d*un condensat des donnees a transmettre, par exemple sous la forme 
d'lme sequence de vingt symboles, de chiffreraent de ce condensat par la cle 
priv6e dc l\itilisateur du poste utilisateur 600, et d'extraction d'une partie du 
resultat dc ce chiffrement, par exemple huit symboles sur vingt, 

Preferentiellement, au moins une coordonnee d'au moins un destinataire 
10 des donnees a transmettre est transmis avec le sceau secret, au cours de 

roperation-507, de telle maniere que rutilisateur emetteur puisse identifier le 

message qu'il est en train de signer. 

Le lecteur pourra se referer a la figure 9 et/ou a la demande de brevet 
PCT/FR98/02348, incoiporee ici par reference, pour mieux coimaltre des 
15 exemples d'6tapes mises en oeuvre au cours des operations 507 et 508. Au 
cours de rop6ration 508» rutilisateur commun du poste utilisateur 600 et du 
r6ceptcur 650 saisie le sceau secret et ce sceau secret est transmis au serveur de 
securite 670 oil le sceau est verifie, operation 509. 

En vaiiante, les operations 507 a 509 sont remplacees par une operation 
20 de signature basee sur i'utilisation d'une carte a memoire ("carte a puce") ou 
d'une niesnre de biometrie ou toute autre moyen repute fiable d'authentification 
forte de ['utilisateur. 

A la fin de Toperation 508, les donnees transmises sont done certifiees 
intfegres et signees par I'utilisateur qui les transmet. L'operalion 509 consiste a 
2S substituej une signature dite PKI (pour Public Key Infrastructure, soit 
infirastructure de cl6s publiques) k la signature effectuee au cours des opdrations 
507 et 508. 

Au cours de Toperation 509, les donnees-transmises-sont signees avec la 
cle privee de I'utilisateur qui les a transmise (dit "signatairc" des donndes). 
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Enfin, au cours de I'op&ration 511, les dormees transmises, ceitifiees et 
signees par cl6 privee sont transmises a la mdmoire dc stockagc 630 avec une 
date et, eventueJIeinent, une heure de telle maniere qu^elles sont horodatees, 
archivees et notarisee. 
5 Dans une application de la presente invention k une remise en main 

propre des donn6es transmises, un destinataire est, k la suite de roperation 511, 
averti de la mise a sa disposition des donn^es & transmettre et des operations 
similaires aux operations exposees ci-dessus sont mises en oeuvre pour 
effectuer une copie certifiee conforme sur le poste utilisaleur du destinataire 
10 apres avoir recueilli dc sa part une signature. Par exemple, une signature telle 
. 1 qu'^posee dans la demande de brevet PCT/FR98/02348 peut, de nouveau etre 
mise en oeuvre pour authentifier le destinataire. Un exemple d'une succession 
d'operations mises cn oeuvre pour cette remise en main propre est donne en 
figure 7. 

15 En figure 7 sont representes un poste utilisateur destinataire ou systeme 

informatique destinataire 700, Tapplication Internet 610, la salle blanche 620, la 
memoire de stockage 630, le deuxifeme reseau de communication 640 et un 
recepteur 750 sur le deuxieme reseau de communication 640. Les operations 
efifectu^es dans le mode de realisation particulier illustre en figure 7 sont 

20 representees dans des rectangles et numerotees de 513 a 525. Ces operations 
peuvent suivre les operations 501 a 512 illustrees en figure 6 et effectuees en 
relation avec un poste utilisateur 600 g6n6ralement different du poste utilisateur 
700, 

Le poste utilisateur destinataire 700 est, par exemple, un ordinateur 
25 personnel (PC), un ordinateur de r£seau (NC) ou un assistant numerique 
personnel (en anglais Personal Digital Assistant ou PDA). Le poste utilisateur 
destinataire 700 est dote d*un logiciel de conununication a distance pour mettre 
. en oeuvre Tapplicatiop Internet 610, conjointement avec le serveur de sdcurite. 
670. Ce logiciel de communication a distance peut Stre un logiciel de 
30 navigation ou un logiciel de courrier 61ectr6nique, par exemple. 
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L'application Litemet 610 permet U communication entre le poste 
utilisateur 700 et le serveur de sdcurite 670 et la transmission de donnees 
depuis le poste utilisateur 700 vers la m6moire de stockage 630, par exemple 
par rintermediaire du serveur de securit6 670. 
5 Le r6ceptear 750 sur .le deuxi^me reseau 640 peut, selon le type de 

dcuxieme reseau 640, etre un telephone mobile, un pageur ou on r^cepleur 
quelconquc. Le recepteur 750 permet 4 Tutilisateur du poste utilisateur 
destinataire 700 de prendre connaissance dinformations transmises par le 
serveur de s6curit6 670. 
10 Le poste utilisateur destinataire 700 et le serveur de securite 670 sont 

- conjointenient adapt6s a mettre en oeuvre les operations indiquees ci-dessous. 
Par exemple, le serveur de s6curite 670 est adapte a foumir des routines 
appiicatives ou "applets" au poste utilisateur destinataire 700." 

Au debut du processus de certification, on suppose que des donnees 
15 sont a transmettre de maui&re certifiee et signee depuis la memoire de stockage 
630 jusqu'au poste utilisateur destinataire 700. 

Uutilisateur du poste utilisateur destinataire 700 se connecte 
initialement au premier reseau, par exemple pour consulter des courriers 
electroniques. 

20 Au cours de I'operation 513, l'application Internet 610 6met a 

- destination du poste utilisateur destinataire 700 un courrier electronique (e- 
mail) qui indique que de Tinformation est mise a disposition de Tutilisateiu: du 
poste 700. Dans des modes de r6alisation exemplaires, au moins une 
coordonnee de I'utilisateur emetteur est iranstnise dans cc courrier electronique 

25 pour que le destinataire puisse identifier Tutilisateur emetteur. 

Au cours de I'operation 514, Vutilisateur accede a l'application interne 
610 en selectionnant son adresse internet. Au cours dc I'operation 515, 
Tapplication Internet 610 t616charge une routine applicative certifiSe dans le 
poste utilisateur destinataire 700; On observe' que la routine applicative en 

30 question pent n*etre tSlechargee que dans le cas ou une copie de cette routine 
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n'est pas d6ja implantee dans le poste utilisateur 700. Cette caracteristique 
particuliere permet de rendre portable le proc6de de certification objet de la 
presentc invention, sans ralentir ce processus dans le cas oh Vutilisateur met 
successivenfient en oeuvre le meme poste utilisateur destinataire 700, pour 
5 recevoir plusieurs ensembles donnees. On observe que les routines applicatives 
teI6charg6es au cours des operations 501 et 515 peuvent etre ideatiques pour 
permettre d'une part la transmission de donnees vers la mdmoire 630 et, d'autre 
part, pour recevoir des donnees depuis cette memoire. 



10 pouvant ctre utilise en combinaison avec les op6rations 513 4 515 ci-dessus. Au 
cours de I'operation 516, un sceau secret . est genere et transmis, par 
rintemiediaire du deuxiemc rescau 640, au rccepteur 750- Preferentielleinent, 
. le sceau secret est calcule sur les elements de signature du document. 
Preferentiellement, le sceau secret depend des donnees a Iransmettre, de leur 

15 nombre, de leur contenu, de la date et de I'heure de la g6n6ration du sceau, 
et/ou d'un numero de la session Internet au cows de laquelle les dotmees sont 
transmises. 

Dans des modes de realisation exemplaires, au moins une coordoimee 
de Tutilisateur emetteur des donnees a transmetlre est transmise avec le sceau 

20 secret, au cours de Toperation 516, de telle maniere que I'utilisateur destinataire 
puisse identifier Tutilisateur 6metteur. - . 

Le lecteur pourra sc rcferer a la demande de brevet PCT/FR98/02348 
pour mieux connaitre des exemples d'etapes mises en oeuvre au cours des 
op6Fations 516 et SI7. Au cours de roperation 517, I'utilisateur commun du 

25 poste utilisateur destinataire 700 et du recepteur 750 saisie le sceau secret sur le 
poste utilisateur destinataire 700 et ce sceau secret est transmis au serveur de 
s6curit6 670 ou le sceau est verifie. A la fin de I'opdration 517, les donnSes 
transmises sont done certifi6es integres et sign^es par I'utilisateur qui les 
transmet. 



Les operations 516 el 517 correspondent a un cxemplc de signature 
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En variante, les op6rations 516 et 517 soni remplacees par une 
operation de signature basee sur I'utilisation d'unc carte a memoire ("carte a. 
puce") ou d*ime mesure de biometrie. 

Au cours de rop^mtion 518, le generatexir de certificats 6S0 genera un 
5 certificat de retrait, par exemple sous la forme d*une cle conforme k 
rinfrastructure a cles publiques PKI, par exemple conforme k la normc X509- 
V3. Le certificat de retrait contient la cle publique de IHitilisateur du postc 
utilisateur 600. Au cours de l'op6ration 519, le serveur de sScuril^ 670 transmet 
le certificat de retrait au poste utilisateur destinataire 700. Au cours de 
10 I'operation 520, rapplication 610 determine un condens&t des donn6es a 
transmettre, qui depend du certificat de retrait gfeniSre au coiu^ de I'operation 
518 et des donnees a transmetire et qui permet la detection de toute 
- modification' ulterieure des donnees a transmettre. 

All cours de I'operation 521, les donnees a transmettre et le condensat 
15 sont telechargcs depuis Tapplication Internet 610 jusqu'au poste utilisateiu 
destinataire 700. Au cours dc Toperation 522, rintegrite des donnees i 
transmettre est verifiieej en mettant en oeuvre la cle publique contenue dans le 
certificat de retrait genere au cours de I'operation 5 1 8 et le condensat. 

On observe qu'A la fin de Foperation 522, une copie des donnees k 
20 transmettre a 6te faite depuis la memoire de stockage 630 jusqu'au poste 
utilisateur destinataire 700 et que cette copie est certifi6e conforme 4 Toriginal 
grace a la mise en oeuvre d'une cle jetable. Au cours de I'operation 523, un 
accuse de reception d'int6grite est transmis depuis le terminal utilisateur 
destinataire 700 vers le serveur de sccurite 670. Cet accuse de reception 
25 dMntegrite temoigne que les dormees a transmettre ont ete transmises au 
terminal utilisateur destinataire 700 de mani^re intfegre, c'est a dire que les 
donnees k transmettre n'ont pas ete modifiees aprfes I'operation 520. 

Au cours de I'operation 524, une trace de la transmission des donnees k 
Tutilisateur destinataire est certiiiee et m&noriste dans la memoire de stockage 
30 630. Cette date et, 6ventuellement, une heure est associee aux donnees 
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transmises et est ainsi horodatees, archivees et nolarisSe. Au cours de 
rop6ration 525, le serveur de securite met a disposition de Temetteur des 
dotinSes transmises un accus^ de reception qui I'informe que les donnSes qu'll d. 
transmise au cours de roperation 504 ont cte re9ues par Tun de leur destinataire. 
5 On observe qu'un accuse de reception est transmis a Tenietteur des donnSes 
pour chacun des destinataires des donn6es. 

En figure 8 sent representes le poste utilisateur ou sysfeme informatique 
Smetteur 600, une application Internet 810, la salle blanche 620, la memoire de 
Stockage 630, le deiixi^me reseau dc communication 640 et le recepteur 650 
10 sur le deuxieme reseau de communication 640. Les operations effectuees dans 
le mode de realisation particulier illustre en figure 8 sont representees dans des 
rectangles et numerot^es de 531 a 542. L'application Internet 810 et la salle 
blanche 620 sont conjointement appelSes systeme informatique recepteur. 

Le poste utilisateur 600 et le serveur de securite 670 sont conjointement 
15 adaptes a mettre en oeuvre les operations 531 a 542 indiquees ci-dessous. Au 
debut du processus de certification, on suppose que plusieurs ensembles de 
donnees sont a transmettre de maniere certifi6e et signee depuis le poste 
utilisateur 600 jusqu'a la m6moire de stockage 630. L'utilisateur du poste 
utilisateur 600 se coimecte au serveur de securite 620 pour lancer le processus 
20 de certi fication. 

Au cours de I'operation 531, apr^s identification de Tutilisateur du poste 
utilisateur 600, Tapplication Internet 810 telecharge une routine applicative 
certifies dans le poste utilisateur 600. On observe que la routine applicative en 
question peut n'etre tel6chargee que dans le cas oil! ime copie de cette routine 
25 n'est pas d&jk implant^e dans le poste utilisateur 600. Cette caracteristique 
particuliere permet de rendrc portable le proc6d6 dc certification objet de la 
presente invention, sans ralentir ce processus dans le cas oil Tutilisateur met 
succcssivement en oeuvre le meme poste utilisateur 600, pour plusieurs 
certifications de doimSes. Au cours de I'operation 532, le generateur de 
30 certificats 680 genere un certificat jetable, par exemple sous la forme d*une cl6 
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priv6e confonne k rinfirastructure k cl6s publiques PKI, par exemple conforme 
k la norme X509-V3. Par exemple, le certificat jetable est g6ner6 al6atoiremeiit 
par le gdndrateur 680. 

Au cours de rop6ration 533, le serveur de s6curite 670 transmet le 
5 certificat jetable au poste utilisatexir 600. Au cours de rop6ration 534, 
Tutilisateur selectionne explicitement chacun des ensembles de donnees a 
transmettre. Par exemple, Tutilisateur du poste utilisateur 600 s61ectiomie, un 
par un, des fichiers a transmettre, chaque fichier constituant im ensemble de 
donn6es a transmettre. 

10 Toujours au cours de I'operation 534, le poste utilisateur 600, met en 

_ .oeuyre .la routine applicative tel6cliargee au cours de reparation 531 pour 

obtenir un condensat de chacim des ensembles de donn6es k transmettre, qui 
- depend du certificat jetable g6n6re atx cours de Top^ration 532 et des donn6es 
dudit ensemble. Chaque condensat permet la detection de toute modification 

1 5 ult6rieure d'un ensemble de donn6es k transmettre. 

Au cours de reparation 535, les ensembles donn6es a transmettre et les 
condensat sont tel6charg6s depuis le poste utilisateur 600 jusqu'a rapplication 
Internet 810. De plus, des coordonn6es de chaque destinataire de chaque 
ensemble de donn6es k transmettre est transmis par le poste utilisateur 600 k 

20 rapplication hitemet 610. Ces coordonnees peuvent prendre la forme d'adresse 
de courrier 61ectronique (en anglais "e-mail"), de nimiero de t616phone ou de 
tout autre type d'information permettant de contacter chaque destinataire des 
donn6es k transmettre. Au cours de Topfiration 536, rint6grit6 des ensembles de 
doim6es k transmettre est v6rifi6e, en mettant en oeuvre la cl6 jetable g6n6r6e 

25 au cours de TopSration 532 et les condensat. 

On observe qv!k la fin de reparation 536, une copie des ensembles de 

— donn6es k transmettre k 6t6 faite depuis le poste utilisateur 600 dans 
rapplication Internet 810 et que cette copie des ensembles de donn6es est 
certifi6e confonne k Toriginal grace k la mise en oeuvre d'une cl6 jetable. Pour 

30 6viter que le certificat jetable soit r6utilis6, au cours de rop6ration 540, le 
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certificat jetable est revoque, c'cst-a-dire qu'il devient inutilisable pour certifier 
des ensembles de donn^es. 

En variante, le certificat jetable gen6re au cours de reparation 532 est 
un certificat a durde de vie tres courte, prfeferentiellement inf6rieuTe k une 
5 heure. Dans cctte variante, Toperation 510 n'est pas ex6cutee puisqu'au dela de 
la duree de vie du certificat jetable, ce certificat n'est pas utilisable pour 
certifier des donnees. 

Les operations 537 el 538 correspondent a un exemple de signature 
pouvant Stre utilise en combinaison avec les operations 531 a 536 ci-dessus. Au 
10 cours dc Toperation 537, un sceau secret est genere et transmis, par 
rintermddialre du deuxieme r6seau 640, au recepteur 650. Uadresse du 
recepteur 650 sur le deuxieme r6seau est determince en mettant en 
correspondance Tidcntifiant de Tutilisateur Iransmis au cours de Toperation 53 1 
avec ladite adresse, dans une table de cotrespondance. Preferentiellement, le 
15 sceau secret depend des dorai6es k transmettre, de leur nombre> de leur contenu, 
de la date et de riieure de la generation du sceau secret, de la cle privee de 
Temetteur des donnees d6terminee en correspondance avec Tidentiflant de 
i rutilisaleur transmis au cours de VopSration 531, de Tadresse internet ("adresse 

IP") du poste utilisateur 600 et/ou d'un numero de la session Tntemel au coiirs 
20 de laquelle les donnees sont transmises. Selon un exemple de misc en oeuvre 
tie Topcration 537^ le sceau secret est obtenu par calcul d'un condensat des 
donnees a transmettre, par exemple sous la forme d*une sequence de 20 
symboles, de chifBrement de ce condensat par la cle privee de Tutilisateur du 
poste utilisateur 600 et d'extraction d*une partie du resultat de ce chiffrement, 
25 Prefdrentiellement, au moins une coordonnee d*au moins un destinataire 

des donn6es a transmettre est transmis avec le sceau secret, au cours de 
Voperation 537, de telle maniere que Tutilisateur dmctteur puisse identifier les 
donnees k transmettre qu'il est en train de signer ou au moins un destinataire de 
ces donn6es. 
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Le lecteur pourra se referer a la figure 9 et/ou -k la demandc de brevet 
PCT/FR98/02348 poxir mieux connaitre des exemples d'etapes mises en oeuvre 
au coiirs des operations 537 et 538. Au cours de reparation 538, rutilisatear 
commun du poste utllisateur 600 et du recepteur 650 saisie le sceau secret et ce 
5 sceau secret est transmis au serveur de securite 670 ou le sceau est verifie, 
opdration 539. 

En variante, les operations 537 i 539 sent remplacees par une operation 
de signature basee sur I'utilisalion d'unc carte a memoire ("carte a puce'*) ou 
d*ane mesure de biometrie. 
10 A la fin de reparation 538, les ensembles de donn6es transmis sont 

. ^ done certifiees int^gres ct signees.par Tutilisateur qui les transmet, L'operation 

539 consiste a substituer une signature dite PKI (pour Public Key 

Infrastructure, $oit infrastructure dc-cles publiques) a la signature effectuee au 

cours des operations 537 et 538. 
13 Au cours de Topdration 539, les ensembles de donnees transmis sont 

signes avec la cle privce de I'utilisateur qui les a transmise (dit "signataire" des 

** ■ • ■. . ' . ■• • ■ 

donnees). 

J Enfin, au cours de Toperation 541, les ensembles de donnees 

transtnises, certifiees et signees par cle privee sont transmises a la memoire de 
20 stockagc 630 avec une date et, eventuellement, une heure, de telle manifere 
qa'elles sont horodat^es, archivees et notaxis6e. 

Dans ime application de la pr6sente invention a une remise en main 
propre des ensembles de donn6es- transmises, pour chaque ensemble de 
donnees a transmettre, un destinataire est, a la suite de l'operation 541, averti de 
25 la mise a sa disposition de Tensemble de donnees a transmettre et des 
operations similaires aux operations expos6es ci-dessus sont mises en oeuvre 
pour effectuer une copie certifiee confoime sur le poste utilisateur du 

destinataire apres avoir recueilli de sa part une signature. Un exemple d'une 

succession d'opdrations mises en oeuvre pour cette remise en main propre est 
30 donn6 eri figure 7- 
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La figure 9 rcprdsente un organigramme de mise en oeuvre d'lm autre 
mode de realisation de la presente invention. Dans la colonne la plus a gauche 
de la figure 9 sent representees des operations concemant un systeme 
infonnatique dit "emetteur" 901 mettant en oeuvre un premier support de 
5 communication. Dans la colonne it droite de la colonne la plus k gauche sonl 
representees des op^ations concernant un premier dispositif de communication 
902 mettant en oeuvre un deuxieme support de communication. Dans la 
colomie centrale sont representees des operations concemant un systeme 
informatique 903 dit "recepteur" mettant en oeuvre le premier, le deuxieme^ un 
10 troisieme et un quatrieme support de communication. Dans la colonne la plus a 
- - droite sont representees des operations concemant un systeme informatique 905 
dit "destinataire" mettant en oeuvre le troisieme support de communication. 
Enfin, dans la colonne entre la colonne centrale et la colonne la plus k droite» 
sont representees des operations concemant un deuxieme dispositif de 
15 communication 904 mettant en oeuvre le quatrieme support de communication. 

Le systeme informatique emetteur 901 et Ic premier dispositif de 
communication 902 sont utilises par un utilisateur qui souhaite transmettre des 
donnees i un utilisateur destinataire qui utilise le deuxieme dispositif de 
communication 904 et le systeme infomiatique destinataire 905. Par exemplc, 
20 le systeme informatique emetteur 901 est un ordinateur personnel, ou un 
ordinateur de r^seau, connecte au reseau Internet. 

Par exerople, le systeme infomfiatiqiin dftstinatairp; OO") p..st nn antrfs 
ordinateur personnel^ ou un autre ordinateur de reseau, connect^ au reseau 
Internet. Les premier et troisieme reseau pcuvent etre confondus ou differents. 
25 Le premier et le troisieme r6seaux peuvent ainsi fitre I'lntemet. 

Les deuxieme et quatri&me rdseaux peuvent, en paiticulier Stre des. 
reseaux non filaires. Par exemple, le premier dispositif de communication 902 
est un telephone mobile ou un-pageun Par exemple, le deuxifeme dispositif dp 
communication 904 est un teldphone mobile ou un pageur. Les deuxiteie et 
30 quatrieme reseaux peuvent 6tre confondus ou differents. En revanche, le 
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premier et le deuxi&me support de communication sent different. De plus, le 
troisieme et le quatrieme support de communication sont diffdrents. 
Pr6f(§rentieUement, les dispositL& de communication 901 ct 904 poss6dcnt des 
adresses uniques sur le deuxi&me et le quatrieme reseau de communication, 
respectivement. 

Selon un exemple de realisation, le syst^me informatique r^cepteur 903 
est un serveur de r6seau coimecte a des interfaces de reseau pour communiquer 
sur les premier a qiiatrieme reseaux. Dans la suite de la description de la figure 
9, on considfere que le systeme informatique rccepteur 903 con5er\'e des 
moyens n6cessaires pour obtenir : 

-1- - une cl6 priv6e et une cle publique d'un utilisateur du systeme 
informatique emetteur 901, 
. . Tadresse du premier dispositif de conununication 902 sur le 
deuxieme support de communication, ct 

- Tadressc du deuxieme dispositif de communication 904 sur le 
quatrifeme support de communication. 

Par exemple, le systeme informatique rccepteur 903 conserve en 
memoirc : 

- la cle priv6e et la cle publique de chaque utilisateur susceptible de 
mettre en oeuvre le procede d6crit en figure 9, 

- une table de correspondance entre des identifiants d'utilisateurs et 
des adresses sur le deuxieme support de communication, et 

un moyen d'interroger une base de donnees conservant une table de 
correspondance entre des identifiants d'utilisateurs destinataires et 
des adresses sur le quatrieme support de communication. 

Selon une variante, Tadresse de I'utilisateur destinataire siw le 

quatrieme reseau est obtenue de la part de Tutilisateur 6metteur, conrnie 

dans le cas illustre en figure 9. * - 
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Les operations de demarrage et d'initialisation et les operations d*arret 
des syst&mes informatiques et des dispositifs de communication ne sont pas 
r^rSsentSes en figure 9. 

Au cours d'lme operation 908, Ic systeme infoimalique emetteur 901 se 
s connecte au systfeme informatique receptexir 903, par I'intermddiaire du premier 
support de communication, Au cours d'une operation 909, le systeme 
infomiatique r&epteur 903 transmet au systeme informatique emetteur 901 un 
programme permettant de determiner un condensa dc donn^es a transmettre. 

Au cours d'operations de transmission 910 et 911, le systeme 
XO informatique 6metteur 901 transmet au systeme informatique r6cepteur 903, sur 
- - ' le premier support de communication : 

- des donnees a Iransmcttre au systeme informatique desrinataire 905* 

- im condensat des dbimees a transmettre determine avec le 
programme traiismis au cours de I'operation 909, 

16 - un identifiant d*un utilisateur du systeme informatique emetteur 901 

- . ouunidentifiaiitdu systeme informatique Emetteur 901, et 

- un identifiant du systeme informatique destinataire 905 et une 
adresse du deuxieme moycn de communication 904. 

Au cours d'lme operation de misc en correspondance 912, Ic systeme 
20 infomiatique recepteur 903 met en correspondance ledit identifiant avec une cle 
privee de I'utilisateur du systeme informatique emetteur 901 . 

Au cours d'une operation de generation 913, le systeme infonnatique 
t6cepteur 903 g6nfere une trace des donnees a transmettre. La trace est 
representative des donnees a transmettre. Preferentiellement, ladite trace est 
25 representative d'un condensit desdites donnees a transmettre et de la cl6 privee 
conservee par le systeme infomiatique recepteur 903. Par exemple, ladite trace 
est obtenue par une operation de signature du condensSt par la ol6 priv6e de 
. rutilisateur du systeme informatique emetteur 901. Ainsi, ladite trace est li6e 
audites donnees et toute niodiflcation ultSrieure desdites donnees est detectable. 
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De plus, la source desdites donnees est ainsi aathcntifi6c par la cl6 priv6e de 
rutilisateur. 

Au QOurs d'une operation de mise en correspondance 914, Tidentifiant 
de rutilisateur du systems informatique emetteur 901 est mis en 
5 correspondance avec une adresse du dispositif de comniunication 902 sur le 
deuxiemc support de communication. 

Au cours d*unc operation de transmission 915 d'une partic de laditc 
trace, au moins une partie de la trace d6terminee au cours. de Toperation 913 est 
transmise par Ic systeme informatique recepteur 903 au premier dispositif de 
10 communication 902. Par exemple, I'operation de transmission 915 comporte au 
cours de I'operation dc troncature 916 au cours de laquelle la trace determinee 
au cours de Toperation 913 est tronquee et le rcsultat de ladite troncature est 
transmis au premier dispositif de communication 902, 

Au cours d*une operation de reception 917, ladite partie de trace est 
15 re9ue par le systeme informatique 6metteur 901. Par exemple, le premier 
dispositif de communication 902 affiche ladite trace sur un ecran de 
visualisation et Tutilisateur du pretnier dispositif de communication 902 tape 
ladite trace sur un clavier du systeme informatique emetteur 90K Selon des 
variimtes, rutilisateur emettem- dicte ladite partie de trace qui est reconnue par 
20 un systeme de reconnaissance de voix ou rutilisateur emetteur founiit ladite 
partie de trace au systeme informatique emetteur 901 par le biais d'une interface 
utilisateur quelconque. 

Au cours d*une operation de transmission dc ladite partie trace 918, 
ladite partie de trace est transmise depuis le systfeme infomiatique dmetteur 901 
25 au systeme informatique recepteur 903. 

Au cours d'une operation de verification 919, le systeme informatique 
recepteur verifie la correspondance de la partie de trace regue par le systfeme 
informatique recepteur 903 avec la trace g6n6ree par le systeme informatique 
r6cepteur 903 . La correspondance est, dans rexempie de la figure 9, une egalite 
30 entre la trace emise et la trace re9ue. S'il nV a pas correspondance, le systteic 
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informatique recepteur indique a I'utilisateur emetteur qu'il n'a pas ete 
authentifie, par le biais du premier support de communication ou par le biais du 
dexixieme support de communication et invile rulilisateur emetteur & 
reconmiencer les operations illustrees en figure 9. 
S S'il y a correspondance, au cours d'une operation de mise en 

cotrespondance 920, le systfeme informatique recepteur 903 met en 
correspondaace lesdites donnees avec unc cle publique de I'utilisateur emetteur. 

Au couTS d'une operation de communication 921, le systcmc 
informatique recepteur 903 transmet un message, par cxemple un courrier 
10 electronique, a I'utilisateur destinataire I'invitant a se connecter par le biais du 
troisieme support de communication au syst6mc informatique recepteur 903. 
Selon des modes de realisation exemplaires, un identifiant de Tutilisateur 
- emetteur ou du systfeme informatique 901 est transmis dans ledit message. 

Au cours d*une operation de coimexion 922, I'utilisateur destinataire 
16 effectue la connexion entre le systeme informatique destinataire 905 et le 
systcme informatique recepteur 903. 

Au cours d'une operation, de generation d'une information confidentielle 
923, le systeme informatique recepteur 903 generc une information 
confidentielle, Au cours d'une operation de transmission 924, le dispositif 
20 recepteur 903 transmet ladite information confidentielle au deuxieme dispositif 
de communication 904, par le biais du deuxieme support de communication. 
Dans des modes de realisation exemplaires, un identifiant de I'utilisateur 
emetteur est transmis avec ladite information confidentielle. 

Au cours d'une operation de reception 925, ladite information 
25 confidentielle est re^uc par le systeme informatique destinataire 905. Par 
exemple, Ic deuxieme dispositif de communication 904 affiche ladite 
information confidentielle sur un &ran de visualisation et Tutilisateur du 
deuxieme dispositif de- conmiunication 904 t£^e ladite information 
confidentielle sur un clavier, du systfeme informatique destinataire 905. Selon 
30 des variantes. Tutilisateur destinataire dicte ladite information confidentielle qui 
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est recQnnue par uti systeme dc reconnaissance dc voix ou Tutilisateur 
destinatairc foumit ladite information confidenticlle au systeme informatique 
destinataire 905 par le biais d'lme interface utilisateur quelconque. 

Au cours d'lme operation de transmission de ladite information 
& confidentiellc 926, ladite information confidentielle est transmisc depuis le 
systeme informatique destinataire 905 au syst&me informatique recepteur 903. 

Au cours d*une operation de v<§rification de correspondancc 927» le 
systeme informatique recepteur 903 verifie la correspondance entre 
rinformation confidentielle transmise par le systeme informatique recepteur 
10 903 ct rinformation confidentielle re9ue par le systeme informatique recepteur 
. -903. S'il n'y a pas correspondance, le disposilif informatique recepteur 903 
indique a rutilisateur destinataire qu*il n*a pas etc authentific, par le biais du 
- troisieme oa du quatriemc support dc communication et I'invite a recommencer 
les operations 922 el suivantes. 
15 Lorsqu*il y a correspondance, au cours d'une operation de transmission 

. des donnees au systeme informatique destinataire 928, Ic systeme informatique 
recepteur 903 transmet au systeme informatique destinataire 905 les donnees a 
transmettre. Prdferentiellement, le systeme informatique 903 transmet 
conjointement aux donnees a transmettre : 
20. . - une cle publique de Tutilisateur emetteur au systeme informatique 

- destinataire 905, 
- la trace desdites donnees a transmettre calculee au cours de 
I'opcration , et 

un programme permettant de d6terminer ledit condcns^t desdites 
25 donnees. 

Au cours d'une operation 929, le systeme informatique destinataire 
determine le condensat desdites donnees a transmettre calcule au cours de 
TopSration 913 et utilise la cle publique re9ue au cours de TopSraiion 928 pour 
d^erminer le condens&t desdites donnees qui a servi a geni^rer la trace 
30 transmise au cours de reparation 928. Lorsque les deux condensat sont 6gaux, 
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rutilisaieur destinatairc a I'assurance que c'esi I'utilisateur cmetteur qui a 
transmis les donnees a transmettrc ct que ces domides n'ont pas 6t€ modifi^es 
depuis qu'elles ont ete transinises par rutilisaiear emcttcur. 

Selon des variantes, les operations presentees en figures-6, 7 ou-8 et les 
5 operations present6es en figure 9 sont combinees de telle manicre que, dans ces 
variantes, une c\6 jetable est utilisee pour la transmission des donnees d'un 
systeme infonnatique a un autre et une trace qui depend des donnees i 
transmettre et, dventuellemenl d'une cle privee de Tutilisateur emetteur, est 
mise en ocuvre, 

10 Scion un aspect de la presente invention et dans une variantc de chacun 

-des modes de realisation exposes dans la presente description, Tutilisateur on 
client s'identifie, sur le premier support de communication, par exemple 
Internet, en foumissant un certificat, par exemple conforme a rinfrastructure ^ 
des publique PKI, et ledit certificat comporte I'adresse unique d'un terminal 

15 dudit utilisateur sur le deuxieme support de communication, par exemple un 
numero de telephone mobile de I'utilisateur. Dans des modes de realisation 
exemplaires de cctte variante, I'adresse unique sur le deuxieme support de 
communication est chiffree avec one cle publique de telle maniere que seuls 
certains organismes habilit6s ou certaines autorites de certification peuvenl 

20 d^chiffrer ladite adresse unique. Dans des modes de realisation exemplaires de 
cette variante, I e certificat qui comporte ladite adresse unique sur le deuxieme 
support de communication pointe sur, c'est-a-dirc identifie ou comporte, un 
autre certificat, par exemple conforme a rinfi-astnicturc a cl6 publique PKI qui 
ne comporte pas ladite adresse unique. 

25 Selon un aspect de la presente invention et selon une variante de chacun 

des modes de realisation exposes ci-dessus, la signature par la retransmission 
d'un sceaU confidenticl ou d'un condensit provoque remission conjointe d'une 
- - cl6, par exemple conforme a rinfi-astructuie k cl6s publiques PKI. 

. On observe que tous les aspects de la presente invention exposds dans la 

30 presente description et, en particulier, en regard des diffdrentes figures, ainsi 
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que toutes le$ vananies et les modes de rdalisation exemplaires, peuvent etre 
avantageusetnent combin^es. 
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REVENDTCATIONS 

1. Precede de paiemenL comportant une operation d*ouverture d*une 
session de communication entre un premier terminal d'utilisateur et un serveur 
5 de site marchand, sur un premier support de communication, caractirisc on cc 
qu'il comporte, durant laditc session de communication : 

- une operation de transmission par Ic terminal utilisateur d'une 
information dldentifi cation de Tutilisatcur, 

• une operation de transmission a un serveur de paiement de ['information 
10 d'identification de rutilisatear, 

- ime operation de constitution par ledit terminal utilisateur d*un certificat 
de paiement a usage unique, 

— - une operation de transmission par le serveur de paiement d'une 
information confidentielle a un deuxieme terminal utilisateur, par intemiediaire 
IS d'un deuxieme support de conraiunication sur lequel chaque adresse est 
attribuee a au plus un terminal utilisateur, 

- unc operation de transmission par le premier terminal de ladite 
* information confidentielle ; 

- une operation de verification, par le serveur de paiementj de 
20 correspondancc de Tinfomiation confidentielle re9ue de la part du premier 

terminal sur Ic premier reseau de communication avec Tinformation 
confidentielle transmise au deuxieme terminal utilisateur et, 

- en cas de correspondancc, une operation de validation de paiement. 

^ 2. Precede selon la revendication 1, caracterise en ce que I'opdration de 
25 constitution comporte : 

- une operation de reception du nom dudit marchand et du montant du 
paiement; et 

- une op6ration d'afifichage d'une fen5tre sur un 6cran du premier terminal 
utilisateur, ladite fcnStre comportant TafEchage du nom dii site marchand et du 

30 montant de paiement. 
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3, Proced6 scion la revendication 2, caract6ris6 en ce que : 

^ aa cours de Voperation de reception, le nom de VutiUsateur est repu ct 

- an cours de reparation d'affichage, le nom dc Tutilisateur est affiche 
dans laditB fen^tre. 

5 4. Proced6 selon Tune quelconque des revendications 2 oa 3, caracteris6 

en ce que : 

- au cours de Topdration de reception, un numero de comptc attribue a 

Ihitilisateur est re^u et 

- au cours de I'operation d*affichage, le numero de compie est affiche 

10 dans ladite fenetre. 

5. Proced6 selon Tune quelconque des revendicatiotis 2 a 4, caracteris6 

en ce que : 

- au cours de Voperation de reception, le nom un organisme payeur est 
repu et 

15 - au couis de Toperation d'affichage. le nom de Torganisme payeur est 

affiche dans iadite fenetre. 

6, Procede selon Tune quelconque des revendications 1 a 5, caracterisfi 
en ce qu'il compoite une operation de transmission par le site marchand d'une 
demandc d' emission du certificat de paiement k un site tiers, 

20 7. Procede selon Tune quelconque des revendications 1 i 6. caracterise 

en ce qu'il comportc une operation d'affectation d'lm certificat d'integrite au 
certificat de paiement et a r information confidentielle saisie par 1* utilisateur. 

8. Procede selon Tune quelconque des revendications 1 a 7, caractdrise 
cn ce qu'il comporte one operation de transmission d'un montant disponible 

25 sur un compte attribue audit utilisateur. 




ABREGE 



10 



La prfesente invention conceme un precede et dispositif de paiemcnt 
^lectronique qui comporteunc op6ration d'ouverture d'une session de 
communi^jation entre un premier terminal d'utilisateur et un serveur marchand, 
sur un premier support de communication, tel qu'Intemct. 

Durant ladite session de communication, le terminal utilisateur 
constitue un certificat de paiement a usage unique. LMtilisateur refoit, sur un 
deuxiemc terminal, tel qu'un telephone mobile, une information confidentielle 
telle qu'un mot de passe et le transmet sur le premier support- La 
coirespondance entre Tinfomiation transmise au deuxieme tenninal et celle 
transmise par le premier temiinal est vcrifi6e et, s'il y a cortespondance, le 
paiement est valid6. 



15 Figure 1. 



30-11-2001 18:51 DE 



MAGI 



R 0-00170^^0573 



p. 50 



3/9 



Oil 



^1 



<n1 



CO 



O 

JC 

U 



i3 
g 

c 

X 

'o 

-£2 
"o 
Q 

CO 

I 

a 



I 



C3 



o 



S2 



i 









*^ 
c: 




-Si e/i 








Val 











c 


■| 


Lafo 


Ui' 

E 


C 




'£ 








S 



X 
O 

S2 



?5l 



o 

en 
I 

Q 
O 



30-11-2001 




^ 30-11-2001 18:52 DE MAGI 



fl 0-00171 



10/018371 



:0573 



p. 53 



6/5 




NO 



S 



1) ^ 



\ 30-11-2001 18:53 DE 



MRGI 



R 0-0017aHR0573 



10/018371' 



P. 54 



7/9 



O 
CM 
CO 



ft 



PS 



o 

Ml) 
la 



S3 '-ft 



(i9 



























1 


BO 

.£ 


me 


o 


IS 


cu 


CS 




o 









+ 5 



o 



o 

XI 



O 



a. 



2 

1 



C! ^ 

.2 S 



CO 



< 

'o 

I 

I 



o 
3C 







CO 




O 












'o 


CO 


> 


=3 


c 


«a 




<u 

O 


1 


CO 


vo 








Jo 







Fig. 







.2 



C4 

n 

1 



o 

O 




11 30-11-2001 18:53 DE MflGI^lfes ft 0-0017^^0573 



8/9 




4J 

"a. 

< 



O 

Q 



CO 



CJ 













u 






? 




<o 


1 


CS 


< 


a. 

p 




.9 








tio 


ature, 


sie 


ific 


a. 

8 


t 


- 1 


1 


Sign 


oo 
















to 









a 

c 
.9 

8 



•5 



O 

Si 




■'i. 
1 



30-11-2001 18:53 DE 



MAGI 



ft 0-001 



10/018371 



:0573 



P. 56 



9/9 



E « 
CO -o 



CO 
CM 



rS 
C7\ 



E 5 
.-ad E 
X o 

II 



00 



B 



o 



o 



rs 



o 
(J 



£ 

e 
e 



C3 

s 



•^3 
CO 

is 

-.S *- 

.<u S 

s ^ 



o 



a 



o 



2; 



ON 



00 



ON 



rs 

ON 



ON 



Si 



ON 



CM 



ON 



o 



o 



03 



s 



c: 

T3 



51 



1 



c 
o 



C2 o 
C/3 



ON 



ON 

o 

ON 



9^ 



TRAITE DE C 



PERATION EN MATIERE DE BR77ETS 

PCT 



RAPPORT DE RECHERCHE INTERNATIONALE 



(article 18 et regies 43 et 44 du PCT) 


Reference du dossier du deposant ou 
du mandataire 


POUR SUITE voir la notification de transmission du rapport de recherche Internationale 
(formulaire PCT/ISA/220) et, le cas 6cheant. le point 5 ci-apr6s 

A DONNER 


Demande Internationale n'' 
PCT/FR 01/01205 


Date du depot international {/our/mo/s/an/7ee> 

19/04/2001 


(Date de priorite (la plus ancienne) 
(jour/mois/annee) 

19/04/2000 


Deposant 






MAGICAXESS et al . 









Le present rapport de recherche Internationale, etabli par radministration charge de la recherche Internationale, est transmis au 
deposant confonn^ment k Tartide 18. Une copie en est transmise au Bureau international. 

Ce rapport de recherche Internationale comprend 3 feuilies. 

pr| II est aussi accompagne d'une copie de chaque document relatif h Tetat de la technique qui y est ctt^. 



1 . Base du rapport 

a. En ce qui concerne la langue, la recherche Internationale a ete effectuee sur la base de la demande Internationale dans la 
langue dans laquelle elle a 6te deposee, sauf indication contraire donnee sous le meme point. 

I I la recherche Internationale a ete effectuee sur la base d'une traduction de la demande Internationale remise k I'admlnistratlor 

b. En ce qui concerne les sequences de nucleotides ou d'acides amines divulguees dans la demande Internationale (le cas echeani 
la recherche Internationale a ete effectuee sur la base du listage des sequences : 

I I contenu dans la demande intemationale, sous forme ecrite. 

I [ deposee avec la demande Internationale, sous forme dechiffrable par ordinateur. 

I I remis ulterieurement a radministration, sous forme ecrite. 

I I remis ulterieurement a radministration, sous forme dechiffrable par ordinateur. 

I I La declaration, selon laquelle te listage des sequences presents par ecrit et foumi ulterieurement ne vas pas au-del^ de la 
divulgation faite dans la demande telle que deposee, a ete fournie. 

I I La declaration, selon laquelle les informations enreglstrees sous fonne dechiffrable par ordinateur sont identiques a celles 
du listage des sequences presente par ecrit, a ete fournie. 

I I 11 a ete estime que oertaines revendications ne pouvalent pas faire I'objet d'une recherche (voir le cadre I). 
I I II y a absence d'unite de {'Invention (voir le cadre 11). 

En ce qui concerne le titre, 

PC] ie texts est approuve tel qu'it a ete remis par le deposant. 
I I Le texte a ete etabli par radministration et a la teneur suivante: 



2. 
3. 



En ce qui concerne Tabrege, 

I I le texte est approuve tel qu'll a ete remis par te deposant 

mte texte (reproduit dans te cadre III) a ete etabli par radministration conformement k la regie 38.2b). Le deposant peut 
presenter des observations k radministration dans un deiai d'un mois k compter de la date ^expedition du present rapport 
de recherche Internationale. 

La figure des desslns k publier avec I'abrege est la Figure n** 2 



I I suggeree par le deposant Q Aucune des figures 

□ n'est a publier. 
parce que le deposant n'a pas suggere de figure. 

PT] parce que cette figure caracterise mieux I'invention. 
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La presente invention concerne un precede et dispositif de paiement 
§lectronique qui comporte une operation d'ouverture d'une session de 
communication entre un premier terminal d' utilisateur ( 100) et un serveur 
marchand (12 0) , sur un premier support de communication, tel qu' Internet. 
Durant ladite session de communication (110) , le terminal utilisateur 
constitue un certificat de paiement a usage unique. L' utilisateur 
revolt, sur un deuxieme terminal (170) , tel qu'un telephone mobile, une 
information conf identielle telle qu'un mot de passe et le transmet sur 
le premier support. La correspondance entre 1 ' information transmise au 
deuxieme terminal et celle transmise par le premier terminal est 
verifi^e et, s'il y a correspondance, le paiement est validi . 
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